【臺灣資安大會直擊】鎖定資安領域再出發，前台積人花三年獲取專業能力，揭露轉職過程的第一手經驗

每年臺灣資安大會的資安人才論壇已成為國內了解資安徵才、求職、生涯發展趨勢的重要管道，我們經常聽到投身資安領域多年的專家們，在這個講座公開自身的學習經驗或轉職經歷，讓準備進入資安產業的人能得到更多啟發。特別的是，今年有位講者經歷相當特別，他入行才僅僅兩年，但其演說題目「工廠到駭客：台積電課長轉生資安工程師的異世界生活」，吸引相當多目光。

他是中華資安國際高級資安檢測工程師粘書豪，之前曾在台積電擔任課長。他因為家庭因素而離開台積電，但後來他的轉職方向可能令許多認識他的人感到訝異，因為資安攻防領域已成為他另展長才的新舞臺。

對於這次在臺灣資安大會的資安人才論壇發表演說，粘書豪相當有感觸，因為他兩年前獲得第一份資安工作，招募他的業者就是跟他約在臺灣資安大會現場進行面試，進而成功開啟了他的資安職涯之路。

雖然轉入資安領域只有兩年，粘書豪可說是相當投入其中，他不只日常上班負責資安檢測類型工作，同時也利用個人時間，為國內資安漏洞通報做出重大貢獻，在HITCON Zeroday 2023年度漏洞通報排行第1名。

轉換跑道從本科系開始思考，尋找具使命感的工作讓他決心成為駭客

對於為何要從半導體業轉職，粘書豪表示，雖然在台積電的工作很繁忙，每天顧產線、對人員派工，還有生產會議、產能改善、約談、報告與交接等任務，上班時間也不短，但他並不討厭這樣的工作，畢竟薪資水準不錯。

離開台積電的原因主要是家庭因素，粘書豪坦言，家裡有一些狀況需要回去照顧，因此才與他太太討論，離職後搬到臺北工作。

為何新工作會選擇資安領域？粘書豪表示，當時他希望找到一個既有興趣、又具長期發展性的職涯方向。由於本身是資管系出身，因此，他首先將目標聚焦在資訊相關領域。

而在眾多職務中，他想要找一份讓他更有責任感與使命感的工作，此時，「資安工程師」一詞就浮現於他的腦海。不過，資安領域範圍很大，職能分工多元，為了找到有趣的工作，最終他被其中富有駭客精神的職務所吸引，決心成為一名駭客。

零經驗如何成功踏入資安新手村？

轉職資安之路真的容易嗎？粘書豪笑著回憶，當時只是很直覺地在Google搜尋：「到底要怎麼成為一個駭客？」然後多數搜尋結果告訴他，要學會Linux、TCP/IP、Python，還有熟悉 OWASP Top 10。

不過，這些資訊是否正確，他其實無從判斷，而且當時的他沒用過Linux，也沒聽過OWASP。只有學生時期學過TCP/IP、大學寫過Java、研究所用過Matlab，但那已是十年前的事了。

在這種情況下，粘書豪選擇上課作為進入資安領域的起點。他報名了EC-Council CEH駭客技術專家認證課程，借助教育訓練中心提供的系統化方式來學習。

他打趣說：「就像去健身房上課一樣，繳了學費應該會有成果吧！」然而，第一天上課就讓他嚐到了震撼教育。因為講師問大家：「這個80 port、21 port是什麼，應該不用特別教吧！」而他當下心裡想的是：「欸……什麼是port？」

雖然粘書豪以玩笑般方式、輕描淡寫地描述這段經歷，但我們也可看出他在轉職資安之路上，一開始面對的挑戰其實很巨大。

最終，粘書豪為了能夠順利轉職資安，花了一年的時間，終究克服萬難並考取證照。他補充道，之所以花比較久的時間，一方面是要補足之前不懂的知識，另一方面是他的孩子在這段期間出生，每天聽嬰兒哭泣，其實很快就一天過去。甚至課程附贈的考試券都過期，還好與原廠溝通得以展延，不用再多花錢考試。

回顧踏入資安新手村的這段歷程，粘書豪表示，後來他發現網路上的建議都是真的（意指前面所提Linux、TCP/IP、Python、OWASP），而他也整理自身經驗，希望為想加入資安領域的新手提供具體的參考與方向。

在Linux方面，他強調這方面的基本指令務必要熟練，因為很多滲透測試工具與目標伺服器都是基於Linux系統而成。

同時，熟悉Windows、Active Directory架構也很重要，尤其在紅隊演練中經常會碰到相關環境；關聯式資料庫也必需掌握，因為滲透測試過程經常會接觸到，所以資料庫的SQL語法要會，至少常見的MSSQL、MySQL、Oracle要能夠熟悉。雖然語法大同小異，唯有Oracle較特殊，需額外注意。

在網路架構方面，由於每個客戶或目標環境都不一樣，若客戶端技術背景較弱，滲透測試人員若具備一定的網路診斷能力，在遭遇連線異常時將能協助釐清問題。

在Python程式語言方面，他覺得初期不一定要會寫，但至少需看得懂，因為很多工具是用Python撰寫，才能方便針對工具進行必要的修改。至於其他如GO或Rust等程式語言，只要能達到目的也可以多學一點。

至於OWASP Top 10方面，他覺得不用特地死背，基本能聽懂名詞與其背後的風險邏輯就好，但常見攻擊手法一定要熟悉，包括SQL注入、命令注入、XSS等。

另外，粘書豪也整理出幾個實務中常用的工具，建議大家可以試著及早熟悉，包括：WEB安全測試工具Burp Suite，網路掃描與探測工具Nmap，密碼破解工具Hydra，以及滲透測試工具sqlmap等。

他同時提醒新手不要忽略一項關鍵能力──Google Hacking。簡單來說，這是利用Google搜尋技巧蒐集目標資訊的方法。他認為，資訊收集是駭客的基本功，不過自己有時執行專案都會忘了這招，因此他也在此向大家特別告誡。

資安職涯首年就面對到廣泛工作內容，既是挑戰也讓他獲取大量經驗

談到資安新人的職涯成長，粘書豪大方分享自己的經歷。他提到，前面報名CEH到考取證照，大概花了1年的時間。

而從考取證照到獲得資安職場的第一份工作，大約經歷1個月，特別的是，求職當時對方剛好趁著臺灣資安大會舉行，因此將他約在展會現場進行面試。

他回顧當時第一份工作，由於經驗尚淺，主管最初指派他負責弱點掃描，但由於公司算是新創，在人力有限、業務量增加之際，使得他在一個月後就要開始接觸超出他原本能力、更具挑戰性的工作。

因此，後續他陸續開始負責滲透測試、原始碼掃描、社交工程等任務，也負責實驗室的品質管理，需了解設備測試、文件管理、認證申請與稽核流程。加上公司一度缺乏專案經理（PM），工程師必須自行處理專案管理，從確認目標、交付報告到驗收，另外也要支援業務進行Pre-sales，連採購工具也得親自處理。「那段時間幾乎什麼都要會，也讓我學到非常多。」粘書豪說。

在工作之餘，粘書豪為了增強自己的技術能力，他在下班時間也很投入其中，因為他先前也就提到會積極參與HITCON Zeroday，並且成為了2023年度漏洞通報排行第1名，藉此鍛鍊自己能力，也期望獲得獎勵與肯定。

此後，他在去年7月獲取第二份資安工作，也就是現在於中華資安國際擔任高級資安檢測工程師一職。

轉職初期的練習應多多益善，盡可能累積技術與實戰經驗

要如何提升自身實力？對於想從事滲透測試的資安新手，該粘書豪以自身轉職初期的學習經驗，分享他使用的方法與資源，提供有志投入此領域者作為參考。

不過在談技術之前，粘書豪先強調道德意識與風險認知的重要性。他以自身喜愛的電影《星際大戰》為例，將從資安研究的白帽駭客，與從事網路犯罪的黑帽駭客，比喻為絕地武士與西斯武士，提醒大家不要墮入「黑暗面」，以此強調學習過程中必須要有法律與倫理的自覺，像是《刑法》第36條妨害電腦使用罪，就指出違法行為最重可處五年以下有期徒刑。

對於自身實力的養成，粘書豪提到3個可供練習滲透測試技能的平臺。

最初，他的練習是從Hack The Box線上平臺開始，俗稱「打靶機」，也就是學習試著破解各種不同漏洞題目，不過他也坦言，實際挑戰時，發現這裡的難度並不低，常常遇到標示為「簡單」的題目，自己卻花了好幾個晚上都無法解出，令人感到挫折。

因此他建議，新手可以從TryHackMe線上平臺開始，難度是相對適中，當中也提供豐富的免費課程，在這裡可以學到很多基礎知識。

另外他也推薦Vulnhub平臺，優點是有許多靶機的虛擬機能免費下載，可在離線狀態練習，缺點是品質參差不齊，需要自行架設。

此外，雖然Hack The Box讓他在初期受到挫折，不過該平臺開設的付費課程HTB Academy（年費約1萬6千多元），他認為非常有幫助，因為其內容相當紮實，而且平臺亦推出自有證照，如CPTS、CBBH。在他看來，該課程已經接近取得OSCP證照的等級，如果能真正理解CBBH課程所傳授的內容，對於滲透測試工作的準備也就差不多了。

除了上述可練習滲透測試的資源，另外他也推薦3種類型管道，涵蓋資安文章閱讀、漏洞通報與CTF，可幫助自己在初學時獲得更多的成長。

例如，他提到iThome舉辦的iT邦幫忙鐵人賽，他會從中汲取資安類別文章的知識。

參與漏洞通報，參與國內的HITCON Zeroday漏洞通報平臺，是粘書豪相當熱衷的一項活動。在這裡，他可以將網路上發現的實際資安漏洞進行通報，並請平臺去通知對方修補，雖然這看似在做公益，對方也不一定接收通報或有意願修補。但每天逛網站、到處找漏洞的研究與成長經歷，確實讓他比相同資歷的人，可以更具實戰經驗。

未來，他還希望利用閒暇時間，能參加國際性的HackerOne漏洞獎勵計畫（Bug Bounty Program），因為成功回報漏洞還可獲得獎金，同時也能精進自己工作上的能力，只是這裡的競爭更為激烈，因為比拚對象是來自全球的白帽駭客。

在CTF方面，也是一種可以學習攻擊與防禦的駭客競賽，雖然有些CTF競賽開放各界人士參與，但多是針對學生而舉辦，他認為自己年齡超過30歲、已不再年輕，不適合參加CTF競賽，因此他主要推薦picoCTF這個平臺，因為當中收錄了歷年的CTF題目，適合自主練習且壓力較小。

最後，雖然粘書豪還只是入行兩年的資安新鮮人，但他也想向大家分享的是，資安工程師需要做到「持續精進」，因為資安技術真的是日新月異。這點，從他上述演說內容可以看出。

不只要重視技術實力的培養，另外他也指出「良好溝通」的重要性，畢竟我們知道資安威脅與風險是每個人的事，若要讓其他人知道，他指出，就要懂得把專業術語轉化為一般人能理解的語言，這對與客戶或團隊的溝通合作至關重要。

整體而言，邁向資安職涯之路有許多方式，粘書豪也以自身滲透測試工作領域的同事為例，總結出4種路線：（一）有些同事是資工或資管系出身，本身具備深厚的基礎，程式設計、網路架構都很熟悉，進入產業就能很快學習;（二）有些同事不一定是資訊相關科系出身，但學生期間積極參與CTF比賽，可能在Web、鑑識、密碼學、逆向或Pwn等領域是佼佼者，進入業界後就能靠著這些專長闖出一片天；（三）有些同事從資訊產業或其他領域轉職，以本身是網管或MIS工程師而言，轉職後通常只需要補足一些攻擊手法的知識就能很快熟悉，（四）還有些同事技術能力強得誇張，他開玩笑地說，是不是原本就在做壞事，所以才會那麼厲害！這次他也帶來自身在資安職涯的成長經驗，讓大家能一窺不同的轉職經歷。

穩健的演說風格，多年會議報告經驗打磨

關於粘書豪這次資安職涯經驗分享，我們在現場聆聽時可以感受到，他在演說時的語速穩健，內容精簡且條理清晰，令我們好奇，這是否與其在台積電工作時經常需要報告的經歷有關。

會後我們進一步向粘書豪詢問，他表示，之前工作在生產會議報告時，經常接受主管的強烈質詢，這些歷練確實讓他不害怕上臺，心臟也越來越大顆。他另提到，在第一份資安工作時，他是該公司第一個出去做教育訓練的「工程師」，這是因為以往這類授課通常由副總或顧問負責，而他因一次專案中副總臨時有事，而被指派代為講授。

至於半導體產業的經驗對資安工作是否有幫助，對此問題，他認為，當時的工作內容其實與資安關聯不大，但台積電「實事求是、持續精進」的企業文化對他影響深遠。他坦言，自己原本個性較為隨性，進入台積電後工作態度變得比較嚴謹，而且為了適應工作常常需要逼自己學習新的知識，或許也是因為這樣的緣故，讓他進入資安產業後，也很習慣去學習新的攻擊手法等知識。